服务是在后台运行的应用程序,等待你使用它。你的linux系统预装了许多服务。最著名的是无处不在的Apache web server,它用于创建,管理和部署web服务器。本章关于服务的目的,只选择了对黑客特别重要的四个:apache web server,openssh,mysql和postgresql。
本章中,将学习如何使用apache设置web服务器、使用openssh进行物理监视、使用mysql访问数据以及使用postgresql存储黑客信息。
启动、停止和重新启动服务
service servicename start|stop|restart
service apache2 start
使用apache web服务器创建http web服务器
你可以使用apache设置自己的web服务器,可以通过网站脚本xss向访问你网站的任何人提供恶意软件,可以通过滥用域名克隆网站并将流量重定向到你的网站名称系统(DNS)。在任何一种情况下,都需要apache的基本知识。以后默认,90%的计算机科学基本知识,在任何情况的攻防中都被实用上。如果你是终生学习者,甚至是一个黑客世家的话,花几年时间学习计算机科学领域的知识都不过分,尽量已扩大知识面为主要思路。
从apache开始
你的系统上运行了kali,则已安装apache
如果没有安装,输入以下命令
apt-get install apache2
第一步,启动apache守护进程。
services apache2 start
web浏览器中输入http://localhost/
编辑index.html文件
apache的默认网页位于/var/www/html/index.html。
leafpad /var/www/html/index.html
添加HTML
将此文件另存为/var/www/html/index.html并关闭文本编辑器。覆盖即可。
web浏览器中输入http://localhost/ 再次浏览
OPENSSH和树莓派
SSH是Secure Shell的首字母缩写,它基本上使我们能够按期地连接到远程系统上的终端 - 这是多年前常见的不安全telnet的替代品。当我们构建web服务器时,ssh是我们能够创建访问列表,使用加密密码对用户进行身份验证,以及加密所有通信。最广泛使用的linux ssh服务是openssh,它几乎安装在所有linux发行版上,包括kali
在这个例子中,我们使用ssh设置一个远程Raspberry Pi系统进行间谍活动,称为“Raspberry Spy Pi”。为此,需要一个Raspberry Pi和随之而来的Raspberry Pi相机模块。
先启动openssh
service ssh start
Raspberry Pi是一款小巧但功能强大的信用卡大小的计算机,可作为远程监视工具使用。将使用带有相机模块的Raspberry Pi作为远程间谍设备。可以以低于50美元的价格购买几乎所有电子产品零售商(包括亚马逊)的Raspberry Pi,可以以15美元的价格购买相机模块。
在这里与kali系统相同的网络上使用Raspberry Spy Pi,这允许我们使用私有的内部IP地址,当然与现实世界中有些出入,这样举例可以学到更多的知识范围。外网设置,你一样可以成功胜任。
设置Raspberry Pi
确保Raspberry Spy Pi正在运行Raspbian操作系统,这只是另一个专门为Raspberry Pi CPU移植的linux发行版。
构建Raspberry Spy Pi
配置相机
启动Spy
从MYSQL中获取信息
启动mysql
与Mysql交互
设置mysql密码
访问远程数据库
连接到数据库
下一步是找出是否有值得访问的数据库。
show databases;
查看数据
SELECT columns FROM table
PostgreSQL与Metasploit
PostgreSQL或Postgres是另一个开源关系数据库,可轻松扩展并处理繁重的工作负载,常用于非常大的互联网应用程序。默认,安装在kali中。
apt-get postgres install 安装它
它是Metasploit的默认数据库。使用其存储模块,扫描和利用的结果。
启动PostgreSQL应用程序
service postgresql start
启动Metasploit
msfconsole
使用metasploit进行黑客攻击不在此书的范围,这里将建立metasploit信息存储在其中的数据库
在metasploit运行时,可通过以下命令设置PostgreSQL,以便它存储任何Metasploit活动的数据
接下来,需要以root身份登录Postgres。在命令前加上su,即“switch user(切换用户)”,获取root权限
创建用户和密码
创建数据库并为msf_user授予权限。数据库命名为hackers_arise_db
必须通过定义以下内容将metasploit控制台msfconsole连接到PostgreSQL数据库
现在当我们使用Metasploit进行系统扫描或运行漏洞时,结果存储在数据库中。此外,将其模块存储在数据库中,使得搜索正确的模块变得更加容易和快捷。